Cisco Japan Blog

5 月 5 日から 5 月 12 日の 1 週間における脅威のまとめ

4 min read



本日の投稿では、5 月 5 日~ 5 月 12 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ脅威の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.orgpopup_icon、または ClamAV.netpopup_icon をご覧ください。

本記事では、脅威カテゴリごとに 25 個の関連ファイルハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらpopup_iconの JSON ファイルをご覧ください。MITRE ATT&CK 手口についても、脅威ごとに図示されています。図の中における手口の色が明るいほど、動的分析が行われた脅威ファイル全体で多く確認されたことを示しています。明るさは 5 段階で、最も暗いものはファイル全体で確認されなかった手口を、最も明るいものはファイル全体の 75% 以上で確認された手口を表します。

今回ご紹介する、最も蔓延している脅威は次のとおりです。

脅威名 タイプ 説明
Win.Downloader.Upatre-10001445-0 ダウンローダー Upatre はエクスプロイトキットやフィッシングキャンペーンで多用される、悪意のあるダウンローダーです。感染すると、バンキングマルウェアなどの悪質な実行ファイルをダウンロードして実行します。
Win.Dropper.Kuluoz-10001444-0 ドロッパー Kuluoz(別名「Asprox」)は、リモートアクセスのモジュール式トロイの木馬です。偽のウイルス対策ソフトウェアといった他のマルウェアを後からダウンロードして実行します。Kuluoz の一般的な感染経路は、出荷通知やフライトの予約確認を装ったスパムメールです。
Win.Packed.Razy-10001440-0 パック処理済みマルウェア 「Razy」は多くの場合、Windows を標的としたトロイの木馬の一般的な検出名です。感染したホストから機密情報を収集し、データを暗号化してコマンド アンド コントロール(C2)サーバに送信します。収集される情報にはスクリーンショットが含まれる場合もあります。Talos が確認したサンプルでは、レジストリに自動起動の値を追加することで永続性を確立します。
Doc.Dropper.Valyria-10001412-0 ドロッパー Valyria は、Emotet などの他のマルウェアを配布する、不正な Microsoft Word ドキュメントファミリです。
Win.Dropper.Glupteba-10001476-0 ドロッパー Glupteba は、感染したマシンを使用して暗号通貨をマイニングすることで知られる多目的型トロイの木馬です。ユーザー名やパスワードなどの機密情報を盗み出し、EternalBlue などのエクスプロイトを使用してネットワーク上に拡散し、ルートキットコンポーネントを利用して検出を逃れます。また、ビットコイン ブロックチェーンを使用して構成情報を保存することも確認されています。
Win.Dropper.PlasmaRAT-10000760-0 ドロッパー PlasmaRAT は、マイニング、サービス拒否(DoS)、リモートデスクトップ アクセス、キーロギングなど多くの機能を備えた RAT です。PlasmaRAT のソースコードはオンラインで自由に入手することができ、APT33 などの攻撃者による使用が確認されています。

脅威の内訳

Win.Downloader.Upatre-10001445-0

侵害の兆候

  • 動的分析により 29 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKCR>\LOCAL SETTINGS\MUICACHE\82\52C64B7E
値の名前:LanguageList
29

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
51[.]222[.]30[.]164 29

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
groupesorepco[.]com 29
bulkbacklinks[.]com 29

 

作成されたファイルやディレクトリ 発生回数
%TEMP%\hummy.exe 29

ファイルのハッシュ値

0323edc8d532da1aefe5766303a1e4aebeaab1659add9a74a07139bac4d49e21
061783c38fa569ec6943032cd3e89adf46b85058ffce04568bc73de9afb837e4
0a762357e7fd4205bffb69d21b994d1d7904f2e3036df78a68f001ea275874b9
0cac5a7b8060ca7d072ef200ebe114e79db226c0c77b23a5bfdad6367ea66286
0fe6a1a25bc5f8e635ec6858e70a858d8ada70e4c756ce7ead552f9356f1bac1
10a891e850d4aa2cd19cd91667e4aa71a3f5c695c5768eaca0de9b7447af40fe
119b4aada3e4c30184918106a31fdf69f9761311feaf60911835e36ec45be4d8
138cff7ae6280470a0c46263b1c66ff095534dd2fdd55c205790601b35344de3
28f6b3ddad4f5eac964b447a327c65da4ebc78aab3a77ab771b4cec0a831e3d4
2d92e70ea5454c62b44dd8e103937a7247d8bdc568f781c4b34a6bcc98a05e6d
30812a0a04339fb52e41985b348535455af8d3b6b7f0323f26879d61a1eff7fb
34bda506acb7ec2bcf103e8ba957b62bd801bb0a7c51d15953088a5ff0e25934
35cae9bfee37620eed0623fd3c451b6420bac82066b97392ba4dc1e012e3a2b9
36444340684422c57a04de89af9d8ce31014ade3aff049f2f909537efe7f65a5
37b5372bfd492c9541d1ddfcb4fd18aa73d4e2afe10c4c94a61b62b59cb41bbc
3b14a24946a12d98d5ed001ff5ae0a1a4503e1a142a0aa013e4bdf164fe215ac
4537b602ee160ee2e1e6881c43fc89b4805d67e50cd052aa602beb022e85217d
48db71773aa5c9f3adad407f2fb053be71a589ddde373cd4d34a0dddbe8a568a
4f73987d7bc3fba50f4b5bfc1d5c04e066b2a61297872c1fe3f5241ae8b867bb
537ece66bbcc609d5878b3f39a0c5b9dbbe654fe8844991462ea06f00670be88
5a5deb3033c8335e05ea29369a24adf6292254ca61a13bfbb4dbf5dcd33aa97d
5d69cea5ff1f6d0c9543f94f4a08d474822bbd462f3bd946b87482fb50635648
5e0ff03ec2782cdc0d47d71fd5921b585578a6727c6f5d8672a66eaaa1749f7c
5eb916933bdc0557ab1f18f0779085afce4c9099525e719447b530b72cd17389
6064e1b64a1cdad71b8b2ba1b8f6ee644ee9305d8baf9735a63c5af65233a579

* IOC の詳細については JSON を参照してください

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Dropper.Kuluoz-10001444-0

侵害の兆候

  • 動的分析により 32 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKCU>\SOFTWARE\<random, matching ‘[a-zA-Z0-9]{5,9}’> 23
<HKCU>\SOFTWARE\OLFPSCDU
値の名前:gebgrgcs
2
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:upeqcbfi
2
<HKCU>\SOFTWARE\PNHARWEN
値の名前:tkpkvuuv
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:ipujklsd
1
<HKCU>\SOFTWARE\AIPUCTSM
値の名前:uepvvthp
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:eohpdgar
1
<HKCU>\SOFTWARE\SIJOHJOQ
値の名前:qbolerqh
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:jhqqjnsh
1
<HKCU>\SOFTWARE\UORQTLIO
値の名前:rhwxoftw
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:dgtkjdtr
1
<HKCU>\SOFTWARE\MUTKAJBX
値の名前:tdhgnwmq
1
<HKCU>\SOFTWARE\GCNUFLFR
値の名前:tfrsnxbc
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:kkmcetlr
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:kmenlemq
1
<HKCU>\SOFTWARE\BLCQSVUT
値の名前:kqkqgnfk
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:mpdsbbhd
1
<HKCU>\SOFTWARE\ECRARMIC
値の名前:uqlbdvjl
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:dpmdtfdd
1
<HKCU>\SOFTWARE\KPQLPHTV
値の名前:nqikbbnq
1
<HKCU>\SOFTWARE\RJPOTMOR
値の名前:cdjoknmb
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:ebgndtjf
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:jqhgvjhd
1
<HKCU>\SOFTWARE\IWIJWRJQ
値の名前:nfurxpab
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:vcdhnulu
1

 

ミューテックス 発生回数
aaAdministrator 23
abAdministrator 23
Global\<random guid> 9

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
110[.]170[.]30[.]195 14
199[.]59[.]57[.]142 14
162[.]13[.]189[.]52 12
193[.]46[.]84[.]84 11
107[.]170[.]221[.]187 11
23[.]227[.]182[.]207 10
173[.]199[.]182[.]152 10
212[.]129[.]21[.]210 10
158[.]255[.]238[.]9 10

 

作成されたファイルやディレクトリ 発生回数
%LOCALAPPDATA%\<random, matching ‘[a-z]{8}’>.exe 23

ファイルのハッシュ値
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* IOC の詳細については JSON を参照してください

カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Packed.Razy-10001440-0

侵害の兆候

  • 動的分析により 26 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKCU>\ENVIRONMENT
値の名前:SEE_MASK_NOZONECHECKS
7
<HKU>\S-1-5-21-2580483871-590521980-3826313501-500
値の名前:di
5
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Client
2
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\
EXPLORER\TASKBAND
値の名前:FavoritesVersion
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:5d5e3c1b562e3a75dc95740a35744ad0
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:d5a38e9b5f206c41f8851bf04a251d26
1
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:d5a38e9b5f206c41f8851bf04a251d26
1
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\
POLICIES\EXPLORER\RUN
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\
EXPLORER\TASKBAND
値の名前:FavoritesChanges
1
<HKCU>\SOFTWARE\{WEQ2-67R1-YUU3-EEQ2-TY74} 1
<HKCU>\SOFTWARE\{WEQ2-67R1-YUU3-EEQ2-TY74}
値の名前:US
1
<HKCU>\SOFTWARE\9B4E76249AEEC926B2BF5D22AB66FD6A 1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:9b4e76249aeec926b2bf5d22ab66fd6a
1
<HKCU>\SOFTWARE\9B4E76249AEEC926B2BF5D22AB66FD6A
値の名前:[kl]
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:c0fe9f26ddd18885f6e909b228e16080
1
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:c0fe9f26ddd18885f6e909b228e16080
1
<HKCU>\SOFTWARE\85586C1696EEF072F608E599824BECB7 1
<HKCU>\SOFTWARE\85586C1696EEF072F608E599824BECB7
値の名前:[kl]
1
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:5d5e3c1b562e3a75dc95740a35744ad0
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:ff80315b890d700afbcc28650ff0e71b
1
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:ff80315b890d700afbcc28650ff0e71b
1
<HKCU>\SOFTWARE\1FF2F8A6E8685E09EE6FCA84830B84DE 1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:1ff2f8a6e8685e09ee6fca84830b84de
1
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:1ff2f8a6e8685e09ee6fca84830b84de
1
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:AhnLab Update
1

 

ミューテックス 発生回数
<32 random hex characters> 7
RV_MUTEX 5
{WEQ2-67R1-YUU3-EEQ2-TY74} 1
5d5e3c1b562e3a75dc95740a35744ad01234 1

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
172[.]67[.]34[.]170 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
expres123123[.]zapto[.]org 2
kitty1983[.]ddns[.]net 2
pastebin[.]com 1
dz1993[.]ddns[.]net 1
davidaf[.]ddns[.]net 1
toune16[.]ddns[.]net 1
honma123[.]codns[.]com 1
jeffly12[.]hopto[.]org 1
alwerfalli[.]ddns[.]net 1
cyw0923[.]codns[.]com 1
raeed99[.]ddns[.]net 1
at-44[.]myq-see[.]com 1
rootjuba1[.]ddns[.]net 1

 

作成されたファイルやディレクトリ 発生回数
%TEMP%\<random, matching ‘[a-z]{4,9}’>.exe 6
\$Recycle.Bin.exe 4
%ProgramData%\RevengeRAT 4
%TEMP%\RES<random, matching ‘[A-F0-9]{3,4}’>.tmp 4
%TEMP%\<random, matching ‘[a-z]{3}[A-F0-9]{3,4}’>.tmp 4
%TEMP%\<random, matching ‘[a-z0-9]{8}’>.out 4
%TEMP%\<random, matching ‘[a-z0-9]{8}’>.cmdline 4
\Documents and Settings.exe 3
\MSOCache.exe 3
\PerfLogs.exe 3
%ProgramFiles%.exe 3
\$Recycle.Bin 3
%ProgramFiles% 3
\Documents and Settings 3
\PerfLogs 3
\MSOCache 3
%APPDATA%\Client.exe 3
E:\RevengeRAT 3
\RevengeRAT 3
\RevengeRAT\Client.exe 2
\Recovery.exe 2
\RevengeRAT\USBPower.exe 2
%TEMP%\melt.txt 1
%APPDATA%\Microsoft\svchost.exe 1
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Client.exe 1

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値
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* IOC の詳細については JSON を参照してください

カバレッジ

 

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Doc.Dropper.Valyria-10001412-0

侵害の兆候

  • 動的分析により 14 個のサンプルから収集された IOC(脅威の兆候)
ミューテックス 発生回数
Local\10MU_ACB10_S-1-5-5-0-67863 14
Local\10MU_ACBPIDS_S-1-5-5-0-67863 14
Local\WinSpl64To32Mutex_10960_0_3000 14
Local\MU_IMDS10_S-1-5-5-0-67863 14

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
104[.]237[.]62[.]211 4
64[.]185[.]227[.]155 4
173[.]231[.]16[.]77 4

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
api[.]ipify[.]org 12
templogio[.]com 6
johommeract[.]ru 5
amesibiquand[.]ru 3

 

作成されたファイルやディレクトリ 発生回数
%TEMP%\if.bin 14
%TEMP%\if.bin:Zone.Identifier 14
%TEMP%\zoro.kl 14
%TEMP%\zoro.kl:Zone.Identifier 14
%APPDATA%\Microsoft\Templates\~WRD0000.tmp\:Zone.Identifier:$DATA 14
%APPDATA%\microsoft\templates\~$zoro.doc 14
%APPDATA%\microsoft\templates\~WRD0000.tmp 14

ファイルのハッシュ値
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カバレッジ

 

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Dropper.Glupteba-10001476-0

侵害の兆候

  • 動的分析により 24 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKCU>\SOFTWARE\MICROSOFT\A1890984
値の名前:PatchTime
24
<HKCU>\SOFTWARE\MICROSOFT\A1890984
値の名前:PGDSE
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXSF
値の名前:WOW64
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXSF
値の名前:ObjectName
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE
値の名前:Type
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE
値の名前:Start
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE
値の名前:ErrorControl
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE
値の名前:ImagePath
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE
値の名前:DisplayName
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE
値の名前:WOW64
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXMOUSE
値の名前:ObjectName
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST
値の名前:Type
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST
値の名前:Start
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST
値の名前:ErrorControl
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST
値の名前:ImagePath
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST
値の名前:DisplayName
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST
値の名前:WOW64
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXGUEST
値の名前:ObjectName
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXSERVICE
値の名前:Type
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXSERVICE
値の名前:Start
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXSERVICE
値の名前:ErrorControl
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXSERVICE
値の名前:ImagePath
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXSERVICE
値の名前:DisplayName
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXSERVICE
値の名前:WOW64
24
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VBOXSERVICE
値の名前:ObjectName
24

 

ミューテックス 発生回数
Global\SetupLog 24
Global\WdsSetupLogInit 24
Global\h48yorbq6rm87zot 24
WininetConnectionMutex 24
Global\qtxp9g8w 24
Global\xmrigMUTEX31337 6

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
204[.]79[.]197[.]219 24
20[.]60[.]148[.]196 24
20[.]209[.]34[.]36 24
185[.]82[.]216[.]48/31 12
172[.]67[.]168[.]112 9
104[.]21[.]54[.]103 8
162[.]159[.]135[.]233 7
162[.]159[.]133[.]233 6
162[.]159[.]130[.]233 5
81[.]3[.]27[.]44 5
185[.]82[.]216[.]64 5
162[.]159[.]129[.]233 4
172[.]253[.]120[.]127 4
142[.]250[.]111[.]127 4
142[.]250[.]15[.]127 3
74[.]125[.]128[.]127 3
108[.]177[.]102[.]127 3
51[.]159[.]136[.]111 3
188[.]138[.]33[.]149 2
193[.]0[.]213[.]42 2
94[.]100[.]6[.]27 2
162[.]159[.]134[.]233 2
192[.]99[.]43[.]171 2
162[.]55[.]91[.]19 2
157[.]90[.]183[.]103 2

* IOC の詳細については JSON を参照してください

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
msdl[.]microsoft[.]com 24
vsblobprodscussu5shard35[.]blob[.]core[.]windows[.]net 24
vsblobprodscussu5shard60[.]blob[.]core[.]windows[.]net 24
cdn[.]discordapp[.]com 24
twopixis[.]com 17
stun[.]ipfire[.]org 5
e93c35a1-5b7c-447e-bcec-65b84e83dd99[.]uuid[.]mastiakele[.]icu 5
stun[.]l[.]google[.]com 4
stun3[.]l[.]google[.]com 4
e93c35a1-5b7c-447e-bcec-65b84e83dd99[.]uuid[.]zaoshanghaoz[.]net 4
stun[.]stunprotocol[.]org 3
stun1[.]l[.]google[.]com 3
stun2[.]l[.]google[.]com 3
stun4[.]l[.]google[.]com 3
e93c35a1-5b7c-447e-bcec-65b84e83dd99[.]uuid[.]mastiakele[.]xyz 3
stun[.]sipgate[.]net 2
server2[.]mastiakele[.]xyz 2
server13[.]mastiakele[.]icu 2
e93c35a1-5b7c-447e-bcec-65b84e83dd99[.]uuid[.]cdneurops[.]shop 2
e93c35a1-5b7c-447e-bcec-65b84e83dd99[.]uuid[.]zaoshanghao[.]su 2
server4[.]cdneurops[.]pics 1
server15[.]zaoshanghaoz[.]net 1
server13[.]xn--j1ahhq[.]xn--p1ai 1
server14[.]zaoshanghaoz[.]net 1
server2[.]zaoshang[.]moscow 1

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
%SystemRoot%\rss\csrss.exe 24
%TEMP%\csrss\dsefix.exe 24
%TEMP%\csrss\patch.exe 24
%System32%\drivers\Winmon.sys 24
%System32%\drivers\WinmonFS.sys 24
%System32%\drivers\WinmonProcessMonitor.sys 24
%TEMP%\Symbols 24
%TEMP%\Symbols\ntkrnlmp.pdb 24
%TEMP%\Symbols\ntkrnlmp.pdb\9E22A5947A15489895CE716436B45BE02 24
%TEMP%\Symbols\ntkrnlmp.pdb\9E22A5947A15489895CE716436B45BE02\
download.error
24
%TEMP%\Symbols\pingme.txt 24
%TEMP%\Symbols\winload_prod.pdb 24
%TEMP%\Symbols\winload_prod.pdb\B7B16B17E078406E806A050C8BEE2E361 24
%TEMP%\Symbols\winload_prod.pdb\B7B16B17E078406E806A050C8BEE2E361\
download.error
24
%TEMP%\dbghelp.dll 24
%TEMP%\ntkrnlmp.exe 24
%TEMP%\osloader.exe 24
%TEMP%\symsrv.dll 24
%TEMP%\csrss\DBG0.tmp 24
%System32%\Tasks\csrss 24
%TEMP%\csrss\injector 24
%TEMP%\csrss\injector\NtQuerySystemInformationHook.dll 24
%TEMP%\csrss\injector\injector.exe 24
%TEMP%\csrss\tor\Tor\cached-certs.tmp 24
%TEMP%\csrss\tor\Tor\cached-microdesc-consensus.tmp 24

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

Win.Dropper.PlasmaRAT-10000760-0

侵害の兆候

  • 動的分析により 15 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\
CURRENTVERSION\SYSTEMRESTORE
値の名前:DisableSR
15
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\
EXPLORER\ADVANCED
値の名前:ShowSuperHidden
15
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS SCRIPT HOST\
SETTINGS
値の名前:REG_DWORD
15
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SCHEDULE
値の名前:Start
15
<HKCU>\SOFTWARE\VB AND VBA PROGRAM SETTINGS 15
<HKCU>\SOFTWARE\VB AND VBA PROGRAM SETTINGS\MICROSOFT 15
<HKCU>\SOFTWARE\VB AND VBA PROGRAM SETTINGS\MICROSOFT\
SYSINTERNALS
15
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
値の名前:shell
15
<HKCU>\SOFTWARE\VB AND VBA PROGRAM SETTINGS\MICROSOFT\
SYSINTERNALS
値の名前:9481
15
<HKCU>\SOFTWARE\VB AND VBA PROGRAM SETTINGS\MICROSOFT\
SYSINTERNALS
値の名前:PROCID
15

 

ミューテックス 発生回数
4919245 15
83729184726481 15

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
klobert[.]no-ip[.]biz 15

 

作成されたファイルやディレクトリ 発生回数
%APPDATA%\msconfig.ini 15
%SystemRoot%\SysWOW64\Windows Server 15
%SystemRoot%\SysWOW64\Windows Server\wserver.exe 15

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

Secure Endpoint

Secure Malware Analytics

MITRE ATT&CK

 

本稿は 2023 年 05 月 12 日に Talos Grouppopup_icon のブログに投稿された「Threat Roundup for May 5 to May 12popup_icon」の抄訳です。

 

コメントを書く